Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Secure Code Review

Juliana Gaioso
February 02, 2024
1
200

Secure Code Review

Talk apresentada no primeiro meetup codecon de Florianópolis em 31/01/2024.

Juliana Gaioso

February 02, 2024
Tweet

More Decks by Juliana Gaioso

See All by Juliana Gaioso
Golang Securities 01
juligaioso
1
220
Cibersegurança_Feminina.pdf
juligaioso
1
230
Como não perder para a máquina em Vegas
juligaioso
1
50
Engenharia de Requisitos 101
juligaioso
2
270
ReactJS para Iniciantes - Codecon
juligaioso
1
36

Featured

See All Featured
Designing Experiences People Love
moore
136
23k
Making Projects Easy
brettharned
109
5.5k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
It's Worth the Effort
3n
180
27k
The Invisible Side of Design
smashingmag
294
49k
What’s in a name? Adding method to the madness
productmarketing
PRO
17
2.7k
Building Effective Engineering Teams - LeadDev
addyosmani
31
1.9k
Documentation Writing (for coders)
carmenintech
60
4k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
20k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
Atom: Resistance is Futile
akmur
260
25k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k

Transcript

  1. Secure Code Review Juliana Gaioso @juligaioso [email protected] boas práticas, processos

    e ferramentas

  2. Programo desde os 11 anos de idade; Estudei Engenharia de

    Computação e Engenharia Elétrica @ UFG; Formada em Análise de Sistemas @ PUC-GO; Pós Graduanda em Arquitetura de Software e em Segurança Ofensiva; Desenvolvimento Web, Automação Industrial e IoT; Segurança de Aplicações e produtos; Entusiasta de Open Source / Open Knowledge; Enxadrista, enóloga, maker;

  3. Resumo Introdução a Segurança Code Review no SDLC Inserindo Segurança

    no code review Automatizando o SCR

  4. O que é segurança?

  5. Code review

  6. Code review (sometimes referred to as peer review) is a

    software quality assurance activity in which one or more people check a program, mainly by viewing and reading parts of its source code, either after implementation or as an interruption of implementation. At least one of the persons must not have authored the code. The persons performing the checking, excluding the author, are called "reviewers". (en.wikipédia.org/wiki/code_review, acesso em 28/01/2024)

  7. Identificar erros Melhorar a qualidade do código Promover boas práticas

    Garantir que o código esteja em conformidade com os padrões estabelecidos pela equipe.
  8. None

  9. Make it safe.

  10. Ter assessments de segurança bem definidos; Treinar devs para entender

    e replicar segurança; Tratar segurança como uma qualidade do código;

  11. OWASP Top 10; Secure Coding Dojo; Secure Coding Practices-Quick Reference

    Guide; Training PentesterLab; CodeBashing; FreeCodeCamp; Reports CVEs; CWEs; Zero-days;

  12. Automatizando o Code Review SAST SCA

  13. SAST Economia de tempo (milhares de linhas de código analisadas

    em segundos); Integração com CI/CD e IDE - mais presença no dia a dia do desenvolvedor. Static Application Security Testing

  14. SAST Linguagem; Falsos Positivos; Valor ($$); Integrações Static Application Security

    Testing

  15. SAST Checkmarx [Pay] Semgrep [Pay] Snyk [Pay] Veracode [Pay] Horus

    [OpenSource] Safety [OpenSource] ShiftLeft Scan [OpenSource] Static Application Security Testing

  16. SCA Bibliotecas terceiras, infraestruturas, dependências; Geralmente são integradas ao SAST.

    Software Composition Analysis

  17. Processos

  18. None

  19. Keep it real.

  20. Security Champions; Continuous Security;

  21. Dúvidas?

  22. Extras: Awesome Secure Code Review Awesome DevSecOps Awesome Threat Modeling

  23. Obrigada!